/docs beta

Sicurezza

Il Fornitore SaaS, prima della messa in esercizio del servizio SaaS, deve garantire che il codice applicativo sia stato sviluppato seguendo i principi dello sviluppo sicuro. Il fornitore deve dichiarare se il software viene sottoposto a periodiche verifiche di sicurezza secondo il framework OWASP, in particolare a seguito di operazioni di manutenzione del servizio (aggiornamenti e modifiche).

Il Fornitore SaaS deve dotarsi di una adeguata organizzazione e di procedure operative in grado di gestire attività continue e documentabili di aggiornamenti e migliorie in tema di sicurezza. Deve inoltre gestire tempestivamente eventuali situazioni emergenziali.

Il Fornitore SaaS deve garantire che il verificarsi di incidenti di sicurezza oppure gravi disfunzioni del servizio (ad esempio nel caso di denial of service) siano prontamente rilevati e gestiti.

Di seguito è riportato il dettaglio dei requisiti di sicurezza:

RS1 - Il Fornitore SaaS dichiara se le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP con esito positivo.

RS2 - Il Fornitore SaaS dichiara di esserere in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. La certificazione deve essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. In alternativa, il Fornitore SaaS effettua il CSA STAR Self-Assessment2 con riferimento al servizio che intende qualificare (nella versione denominata CAIQ), ne produce la relativa documentazione e la rende pubblicamente consultabile sul proprio sito Web.

[2] Si veda https://cloudsecurityalliance.org/star/self-assessment/

Downloads
pdf
htmlzip
epub
torna all'inizio dei contenuti